Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

discuz全版本重大安全问题

[复制链接]
山东小马哥哥 发表于 2018-10-17 11:24:28 | 显示全部楼层 |阅读模式
本帖最后由 山东小马哥哥 于 2018-10-21 14:58 编辑

本人发现网络上一些以破解discuz盈利的个人或者组织,以出售账号牟利;;;经查发现并不是服务器原因导致的泄密;;99%可能是其直接对数据库权限的更改及操作所致;;


其可对任何discuz论坛(可以查看用户名),就可以实现修改用户密码及密保信息等,获取账号所有权【包含管理员权限】


本漏洞应该是从最初的版本一直延续到目前版本(本人付费让其提供过多个discuz版本的论坛账号)



补充:排除了网站在前期(老版本)存在的问题,即使直接安装3.4版本账号及密码等也会直接被直接替换;其修改记录并不会记录在数据库中;

【具其说,只要可以查看用户名就可以修改资料,,,所以这里也非常的明确针对了discuz;;;据本人了解好像还真没有看不了用户名的版本及设置】
















特别说明:看评论有人说本人是卖黑产的,在这里我说明一下这是不可能的,我一个小白的水平,卖个毛线的黑产,我还没活腻歪!



LJCJR 发表于 2018-10-17 12:35:26 | 显示全部楼层
你可以设置帖子查看权限为管理员,然后写上漏洞是怎么实现的,这样discuz团队的成员就可以看到了,而且其他用户也看不见
回复

使用道具 举报

阿斯顿后i 发表于 2018-10-17 16:26:37 | 显示全部楼层
能详细点吗??难道楼主是搞黑产的来打广告??
回复

使用道具 举报

urs2 发表于 2018-10-18 08:04:53 | 显示全部楼层
有这么厉害了啊。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-23 22:43 , Processed in 0.023077 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表